제로써트, 현재 인터넷 위협상황 인포그래픽으로 가시화

[보안뉴스 민세아] 홈페이지를 통한 악성코드 유포 악용 건수는 날로 증가하고 있다. 이러한 건수가 증가하는 가장 큰 이유는 공격자들이 짧은 시간내 다수의 인터넷 이용자들에게 금전탈취 등의 공격목표를 보다 손쉽게 달성할 수 있기 때문으로 판단된다. 그만큼 인터넷 이용자는 피싱, 금융사이트 파밍, 정보유출, 사생활 노출 등 금전적·정신적 피해가 증가할 수밖에 없는 상황에 놓여 있다.

이에 안전한 인터넷 만들기에 앞장서고 있는 제로써트에서는 인터넷 이용자에게 악성코드의 위험성과 심각성을 알리고, 관련 분야의 사람들에게 더욱 다양한 시야를 제공하기 위해 현재 인터넷 위협상황을 인포그래픽으로 가시화한 결과를 발표했다.

첫 번째, 악성코드 유포지 및 규모 파악

경유지(홈페이지)에 삽입된 유포지(악성URL)에 대해 트리맵 챠트로 그 규모를 파악한 모습이다. 악성코드를 유포하기 위해 경유지들을 확보한 유포지군들의 규모 및 현황을 확인할 수 있다.

두 번째, 유포지 활동 유무 파악

그림 2는 그림 1에서 파악된 유포지들에 대한 활동 여부다. Type A는 활동 중인 악성코드 유포지의 상태로, 경유지들을 계속 확보하고 악성코드를 유포하고 있다. Type B는 휴면 또는 삭제된 상태다. Type B처럼 미 활동상태라 해도 경유지군을 확보한 상태로 언제 다시 활동할지 모르기 때문에 주의해야 한다.

세 번째, 경유지와 유포지 관계도

그림 3은 경유지와 유포지 그리고 최종적으로 유포되는 악성코드까지의 관계도를 보여주고 있다. 현재의 인터넷 위협 상태라고 할 수 있다. 아래와 같이 공격툴 킷 중 하나인 Sweet Orange Exploit kit을 이용한 공격 영역은 해당 공격툴 킷 특성상 최종 악성코드 주소를 감추기 위한 모습이 관찰된다.

그림 4는 하나의 악성코드만 가지고 확인된 관계도다. 보는 바와 같이 금융정보 탈취형 파밍 악성코드 1개가 얼마나 많은 경유지와 유포지에 관계를 가지고 있는지 확인할 수 있다. 또한, 관계된 경유지, 유포지들은 동일조직의 공격일 가능성이 높다.

하나의 경유지에서 침해사고 발생 후 변화하는 모습을 관찰한 결과, 시간이 지날수록 실제 우리 몸에 침투한 바이러스가 퍼지는 모습처럼 경유지에도 악성코드가 퍼지는 모습을 볼 수 있다.

침해당한 경유지는 유포지로도 악용될 뿐만 아니라 사실상 공격자에게 관리자 권한을 위임했다고 볼 수 있다. 이는 해당 경유지 관리자 또는 업체의 문제로만 볼 수 없고, 금융정보 탈취 등 범죄에 간접적으로 가담하고 있다고 해도 무방하다.

악성코드에 감염돼 경유지나 유포지로 사용된다는 사실을 인식할 경우 그대로 방치하지 말고 관련 기관 및 업체에 반드시 도움을 받아야 한다. 마지막으로 최근 30일 동안 경유지에서 유포되는 악성코드 230건에 대해 확인한 사항이다.

악성코드 평균 생명주기(Life-Cycle)는 약 17.8시간(오차범위 ±3시간)으로 확인됐다. 동일 주소를 갖는 변종 악성코드 중에서는 ‘smss.exe’라는 이름의 악성코드가 140일(7월 4일 최초 수집, 11월 21일까지 변종)로 가장 장기간 동안 악용됐으며, 단기간 변종 악성코드는 ‘a.exe’가 5일 동안 12번 유포됐다.

유포지와 변종 악성코드가 계속해서 증가하는 이유는 악성코드를 보호함과 동시에 백신 및 보안 제품의 탐지를 우회하고 회피하기 위한 것으로 보인다.

이러한 사이버위협 가시화를 통해 한번의 공격으로 큰 타격을 줄 수 있는 지점인 ‘사이버 킬 체인(Cyber Kill Chain)’을 확보하게 되면, 방어자 입장에서도 선제적 대응을 할 수 있는 다양한 접근방법을 확보할 수 있을 것으로 기대된다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>